La 5G a des failles de sécurité qui permettent de pister des téléphones


C’est bien beau l’évolution de la communication, mais pas au détriment de la cybersécurité. Il semble que le nouveau G5 ait déjà 5 failles à son actif, comme envoyer de fausses alertes d’urgence, déconnecter une personne du réseau ou pister une personne via son téléphone.
Nuage


La 5G a des failles de sécurité qui permettent de pister des téléphones

Un homme traverse une rue et des ondes émanent de son corps pour représenter des données mobiles.

La 5G devait être plus sécuritaire que la 4G, mais il semblerait que ce n’est pas tout à fait le cas.

PHOTO : ISTOCK

Radio-Canada

À quelques mois de son déploiement formel au Canada, la 5G est de plus en plus scrutée par le milieu de la cybersécurité, qui vient d’y découvrir 11 nouvelles failles. Celles-ci permettraient notamment à des pirates de pister de potentielles victimes, leur envoyer de fausses alertes d’urgence ou les déconnecter du réseau.

C’est ce qu’on apprend dans un rapport des équipes de recherche en sécurité des universités Purdue et de l’Iowa, aux États-Unis, publié mercredi. Ce dernier démontre que la cinquième génération du réseau de communications mobiles est tout aussi vulnérable aux attaques que sa prédécesseure alors qu’elle devait être plus sécuritaire. 

Les spécialistes ont conçu l’outil 5GReasoner pour trouver les failles. Il a servi à créer de fausses stations de bases, ces antennes auxquelles se connectent les téléphones pour avoir accès aux réseaux mobiles. C’est grâce à elles qu’elles et ils sont parvenus à pirater des téléphones, tout comme il est possible de le faire avec la 4G.

Un téléphone connecté à un faux réseau comme celui-là dévoile ses identifiants de réseau, ce qui permet ensuite de pister son emplacement ou mener une attaque par déni de service, qui l’empêche de se connecter.

L’envoi de fausses alertes d’urgence est également possible. Cela pourrait semer le chaos artificiel, comme il s’est produit au début de 2018 lorsqu’une fausse alerte de missile balistique a provoqué la panique à Hawaï. 

Le chercheur Sued Rafiul Hussain a dit au site spécialisé TechCrunch que ces failles pouvaient être exploitées par n’importe qui ayant des connaissances pratiques sur le fonctionnement de la 4G et de la 5G et qui se servirait d’équipements peu coûteux. 

Selon lui, les problèmes avec le réseau pourraient être réglés avant son déploiement, mais certains d’entre eux nécessiteraient des changements assez majeurs. 

La manière précise dont les failles ont été exploitées n’a pas été dévoilée par les équipes de recherche, mais elles ont été divulguées à la GSMA, l’association mondiale des opérateurs et constructeurs de téléphonie mobile.

https://ici.radio-canada.ca

Retrouver des personnes disparues en épluchant le web



Voilà une activité utile est instructif en même temps qu’un organisme au Québec organise dans le but de retrouver des personnes disparues. Au lieu de pirater les as en informatique exploitant leur savoir faire pour éplucher le web.e. C’est une compétition, plus les indices sont utiles pour les policiers, plus cela donne des points.
Nuage


Retrouver des personnes disparues en épluchant le web


Les mains en gros plan d'un jeune homme qui utilise un téléphone cellulaire.

Le Hackfest a lieu les 1er et 2 novembre à Québec.

PHOTO : GETTY IMAGES/ISTOCKPHOTO / BOMBUSCREATIVE

Joëlle Girard

Des pirates informatiques au grand cœur mettent leur talent à profit afin de retrouver des personnes disparues.

Pour la deuxième année consécutive, le Hackfest de Québec est l’hôte ce samedi d’une compétition inusitée. Des experts en cybersécurité, et autres adeptes du piratage éthique, mettent leur talent au service de la police pour retrouver des personnes disparues. Si la technique est nouvelle, elle a toutefois déjà fait ses preuves.

Fondé il y a environ un an et demi, Trace Labs est un organisme à but non lucratif de Vancouver qui s’est donné comme mission d’utiliser le renseignement de sources ouvertes (OSINT) afin d’aider les corps policiers à relancer des enquêtes non résolues et, au bout du compte, localiser des personnes disparues.

Le concept est plutôt simple : il s’agit d’extraire des données accessibles au public sur Internet, de les analyser, puis de s’en servir pour obtenir des renseignements qui peuvent aider à retrouver des disparus. Ces données, les participants les trouvent un peu partout : sur les médias sociaux, sur le web caché (dark web) ou le web invisible (deep web), dans des bases de données en ligne du gouvernement ou d’entreprises, par exemple. Les possibilités sont infinies.

C’est très gratifiant de pouvoir mettre à profit nos compétences pour aider concrètement des gens, affirme Rae Baker, qui est étudiante au baccalauréat en sécurité et analyse de risques à l’Université d’État de Pennsylvanie.

Mme Baker est bénévole pour Trace Labs et a pris part à plusieurs événements de l’organisme, comme participante, organisatrice ou juge.

L’idée de retrouver de véritables personnes m’a attirée dès le départ. J’ai toujours été fascinée par les histoires policières et ce genre de chose, alors de pouvoir y prendre part, en quelque sorte, sans faire partie d’un corps de police, ça m’a tout de suite paru excitant.

Une technique qui a porté ses fruits

En dépit du sérieux qu’imposent de telles enquêtes, il s’agit bel et bien d’une compétition où l’on couronne des gagnants. Les participants gagnent des points lorsqu’ils arrivent à fournir certaines informations au sujet des personnes disparues, de leurs amis, de leurs activités, etc. Plus les informations sont susceptibles d’aider à retrouver la personne, plus elles valent un nombre important de points.

Mme Baker se souvient notamment d’un cas, lors de l’événement de Trace Labs qu’elle a organisé sur son campus.

Un des participants a trouvé un commentaire sur Airbnb dans lequel un hôte affirmait que la personne disparue avait loué sa maison. Et c’était la dernière fois que cette personne avait été vue, lors de son séjour dans la maison en question. Le participant a remporté beaucoup de points, et il a fini par gagner.

Une information de ce type peut sembler anodine, mais encore faut-il savoir la trouver. Or, souvent, les corps de police ne disposent pas des ressources nécessaires pour y arriver. En ce sens, l’initiative de Trace Labs est accueillie de manière très positive par les forces de l’ordre.

Les forces policières sont très enthousiastes à l’idée de travailler avec nous, parce que c’est un nouveau moyen pour elles de mettre la technologie à profit pour tenter de résoudre leurs enquêtes, explique Adrian Korn, directeur des opérations de renseignement de sources ouvertes et des initiatives stratégiques chez Trace Labs.

Nous avons vu par le passé que des renseignements que nous avions fournis ont mené à la réouverture de plusieurs disparitions non résolues. Adrian Korn, directeur des opérations chez Trace Labs

Je ne peux pas vous donner un nombre exact concernant les dossiers que nous avons contribué à régler, mais il y en a eu au moins trois ou quatre au cours de la dernière année, précise M. Korn, qui tient à spécifier que les corps policiers ne peuvent pas toujours leur offrir de rétroaction sur leur travail étant donné la confidentialité des enquêtes.

Des cas « fascinants »

Rae Baker affirme que l’expérience peut être parfois troublante pour les participants.

 On trouve plein de détails au sujet d’une personne et des circonstances de sa disparition, le genre de choses qu’on ne devrait pas normalement savoir. […] C’est fascinant de remonter le fil des événements et de comprendre ce qui s’est passé.

Lorsque j’étais juge au Defcon de Las Vegas, un participant a découvert qu’un jeune homme disparu avait en fait rejoint un gang de rue. Grâce aux médias sociaux, on a pu voir avec qui il passait du temps, quels tatous il s’était fait faire, et on a ainsi déterminé qu’il était probablement devenu membre des Crisp, un gang de rue de Los Angeles.

Les raisons pour lesquelles des gens disparaissent sont très diverses, explique Mme Baker.

On a des gens qui échappent à des relations abusives, des adolescents qui fuguent, des enlèvements d’enfants, des cas de trafic d’êtres humains.

Selon elle, les cas les plus difficiles à résoudre sont ceux qui concernent les enfants, parce qu’ils laissent moins de traces en ligne. Ils n’ont pas d’emplois donc pas de profil LinkedIn. Ils n’ont pas non plus de prêt auto ni d’hypothèque. Ils utilisent peu Facebook et se tournent vers des médias sociaux comme Snapchat ou TikTok, où ils ne laissent pas de traces. Ou encore ils verrouillent leur profil.

Adrian Korn explique pour sa part que les cas qui représentent les plus grands défis sont ceux qui remontent à plusieurs années.

 Lorsque la personne est portée disparue depuis plus de deux ans, il faut vraiment fouiller pour trouver de l’information.

Ce n’est toutefois pas impossible d’y arriver, précise-t-il. Une fois, un de nos participants a trouvé une vidéo YouTube dans laquelle une personne disparue se trouvait dans un véhicule. En la mettant sur pause, il a réussi à noter l’immatriculation du véhicule. On a fait suivre l’information à la police, qui a pu rouvrir son enquête alors que la personne était disparue depuis plus de deux ans.

« Réaliser l’impossible »

Samedi, lors du Hackfest de Québec, les participants à l’événement de Trace Labs pourront travailler sur six cas différents. Des représentants du Service de police de la Ville de Montréal seront présents afin de collecter les informations jugées pertinentes.

Michaël Giguère, qui étudie en cybersécurité à l’École Polytechnique de Montréal, en sera à sa première participation à une compétition du genre.

 J’ai eu un coup de cœur en découvrant ce que fait Trace Labs en juillet dernier, a-t-il expliqué.

Ça m’a vraiment dépassé de voir que des gens avaient pensé à fonder un organisme pour utiliser le pouvoir de l’OSINT et générer des pistes d’enquêtes assez solides pour permettre de réaliser l’impossible : retrouver des personnes disparues parfois depuis des années.

Je me suis dit qu’il fallait absolument que je participe à ça.

htthttps://ici.radio-canada.ca

En Chine, une appli­ca­tion créée par le gouver­ne­ment espionne plus de 100 millions de citoyens


Big Brother est en Chine ! Le gouvernement espionne ses citoyens via une application sur la ligne de pensée du président chinois devient un aspirateur de données des citoyens.En plus, il peut modifier des fichiers, télécharger d’autres application, prendre une photo, ouvrir le micro et autres sur des téléphones Android

Nuage


En Chine, une appli­ca­tion créée par le gouver­ne­ment espionne plus de 100 millions de citoyens


par  Adrien Gingold

Des cybers­pé­cia­listes alle­mands ont décou­vert une back­door (ou « porte déro­bée ») dans une appli­ca­tion chinoise dédiée au président Xi Jinping, rela­tait samedi 12 octobre le Washing­ton Post.

L’ap­pli­ca­tion Xuexi Qiang­guo a été lancée en janvier par le pouvoir chinois. Selon une société alle­mande de cyber­sé­cu­rité, Cure53, elle a surtout été conçue pour espion­ner en profon­deur les smart­phones des citoyens qui la télé­chargent.

Offi­ciel­le­ment, l’ap­pli­ca­tion Xuexi Qiang­guo compile articles, livres et vidéos sur la vie et la pensée du président chinois Xi Jinping. Lancée en janvier 2019, elle comp­tait déjà plus de 100 millions d’uti­li­sa­teurs en avril dernier. Les jour­na­listes ont vive­ment été inci­tés à la télé­char­ger pour prou­ver leur loyauté au Parti. 

Aujourd’­hui, Cure53 présente l’ap­pli­ca­tion comme un aspi­ra­teur de données géant, ayant accès aux photos, messages, contacts ou histo­riques de navi­ga­tion de ses utili­sa­teurs. Plus effrayant encore, l’ap­pli­ca­tion permet de modi­fier des fichiers, télé­char­ger des appli­ca­tions, compo­ser des numé­ros, déclen­cher le flash de l’ap­pa­reil photo ou ouvrir le micro des 100 millions de télé­phones Android sur lesquels elle a été instal­lée. 

Source : The Washing­ton Post

https://www.ulyces.co

Votre téléphone mobile vous écoute-t-il?


Téléphone, ordinateur, télévision avec toutes ces technologies nous sommes des sources inestimables pour les publicités ciblées. On nous écoute, nous lis et aux USA, les télévisions intelligentes peuvent voir si une publicité vous intéresse.
Nuage


Votre téléphone mobile vous écoute-t-il?

Illustration d'une oreille sur un téléphone cellulaire.

Nos téléphones nous écoutent, «mais ça ne fonctionne pas comme plusieurs le pensent», dit l’expert en cybersécurité Luc Lefebvre.

PHOTO : RADIO-CANADA / ÉMILIE ROBERT

Voir une publicité « trop » bien ciblée en faisant défiler son fil d’actualité Facebook a de quoi faire sursauter. Il arrive qu’elle soit si étrangement liée à une conversation qu’on a eue plus tôt qu’on se demande si notre téléphone nous écoute dans le but de nous vendre des biens et des services parfaitement adaptés à nos goûts. Et si c’était bel et bien le cas?

L’expert en cybersécurité Luc Lefebvre, chef analyste de la sécurité de l’information à Radio-Canada et un des auteurs du livre On vous voit : comment déjouer les malveillants sur Internet, démystifie ce sujet pour vous. Voici ses réponses à nos questions.

Ce texte fait partie d’une série d’entrevues avec des experts en cybersécurité sur des sujets qui vous préoccupent.

Cliquez ici pour lire notre dernière session de questions-réponses : Combien valent vos données personnelles sur le dark web?

Radio-Canada Techno : Les téléphones qui écoutent nos discussions dans le but de nous proposer de la publicité et du contenu ciblés, est-ce un mythe ou pas? 

Luc Lefebvre : C’est définitivement vrai, mais ça ne fonctionne pas comme plusieurs le pensent.

D’abord, il faut comprendre que tous les Google, Facebook et Amazon de ce monde ont des liens commerciaux et s’échangent des informations afin de créer un profil de consommateur. Ce profil de consommateur sert ensuite à nous présenter des publicités et du contenu selon nos préférences. Notre historique de navigation et [notre historique] de recherche servent bien sûr à créer ce profil.

Pour ce qui est de notre microphone, on accorde à plusieurs de nos applications la permission d’y accéder, et plusieurs des entreprises derrière ces applications ont souvent des partenariats avec les géants du web. Elles enregistrent des bribes de ce qu’on leur dit et envoient le tout à ces entreprises pour alimenter les profils de consommateurs. En gros, tout le monde se parle.

[Les géants du web] ont plus d’informations sur nous qu’on peut le croire. Par exemple, si ton ordinateur portable, ton téléphone et ceux de ta blonde sont connectés à ton réseau local, Google sera capable de traquer tout le trafic venant de cette même adresse IP et faire du croisement de données pour comprendre qui sont les personnes qui se servent du réseau et s’en serviront pour leur présenter de la publicité [ciblée].

Voici un exemple d’une expérience que j’ai réalisée avec ma copine : on parlait tous les deux de Magalie Lépine-Blondeau et, comme de fait, des nouvelles de Magalie Lépine-Blondeau sont apparues dans mon fil juste après.

On s’est rendu compte que ce n’était pas mon cellulaire qui m’écoutait, mais bien celui de ma blonde, sur lequel elle avait donné la permission à l’application Messenger d’avoir accès à son microphone.

Messenger est lié à Facebook, qui sait qu’on est en couple. L’application entend donc une voix d’homme à 22 h, se dit que c’est celle du copain de la propriétaire du téléphone, et décide ensuite de me présenter des nouvelles sur Magalie Lépine-Blondeau.

Le système d’exploitation de notre téléphone peut-il aussi enregistrer ce qu’on dit pour alimenter notre profil de consommateur?

Il y a quelques années, certaines versions du système d’exploitation Android enregistraient de manière ponctuelle des bribes d’information à partir de notre microphone dans le but d’analyser des mots-clés de ce qu’on disait pour créer un profil.

Ça pouvait être désactivé à partir des paramètres du téléphone, mais c’était activé par défaut. Il y a eu des plaintes des utilisateurs et utilisatrices, et Google a décidé de désactiver la fonctionnalité par défaut, mais elle existe encore. Bien sûr, ce que font aujourd’hui les applications est très semblable à ça.

Peut-on empêcher les applications de nous enregistrer en désactivant les permissions?

La vaste majorité du temps, oui.

On sait par contre que certaines applications seront capables de trouver des manières de contourner ça. Facebook en avait parlé dans des courriels saisis par le gouvernement anglais il y a quelque temps.

C’est sûr que, selon qui vous êtes, il y a toujours la possibilité d’activer à distance votre cellulaire. C’est quelque chose qui est reconnu : si on est par exemple quelqu’un dans une position importante, ciblé par un acteur étatique, ça peut se faire, mais on parle vraiment ici d’un cas extrême. Pour la personne moyenne, simplement limiter les permissions sera suffisant.

Il faut aussi s’assurer que les gens autour de vous, qui vivent avec vous, ont limité les permissions. Comme je l’expliquais dans l’exemple précédent, ma copine n’avait pas désactivé les permissions de Messenger et Facebook a pu obtenir mes informations même si j’ai fait tout ce qu’il fallait faire de mon bord.

Des applications peuvent-elles aussi accéder aux caméras?

Ce qui les intéresse, c’est surtout l’audio.

En fin de compte, c’est sûr que la vidéo peut devenir un enjeu parce que les entreprises voudraient que les gens regardent plus longuement les publicités. Il faudrait qu’elles aient accès à la caméra pour savoir combien de temps je regarde une publicité, si la publicité m’intéresse, si je souris et tout ça.

Il y a déjà des télévisions intelligentes qui font ça aux États-Unis, mais on n’est pas encore rendus là pour le cellulaire.

Peut-on désactiver complètement son microphone et sa caméra quand on ne s’en sert pas?

La seule manière serait d’aller dessouder complètement le micro et la caméra à l’intérieur du téléphone.

À la base, ces dispositifs sont connectés en tout temps au système d’exploitation et sont prêts à être activés quand on le lui demande. Il n’y a pas possibilité de désactiver ça, d’aucune manière que ce soit. C’est techniquement le cas pour le GPS aussi.

La seule manière de s’assurer qu’on n’est pas écoutés serait de traîner en tout temps un sac de Faraday, qui bloque les ondes.

Quelles sont les bonnes pratiques à suivre si on veut donner moins de nos informations aux entreprises à travers les applications qu’on installe?

Pour monsieur et madame Tout-le-Monde, il faut toujours se demander quels accès veut avoir une application lorsqu’on l’installe, si on veut qu’elle ait ces accès, et à quoi ils servent. Il n’y a aucune raison, par exemple, de permettre à une application de suivi de cycle menstruel d’avoir accès à mon microphone.

Ensuite, si on habite avec quelqu’un, on doit s’assurer que la personne est au courant elle aussi de ces pratiques-là parce que son cellulaire peut aussi nous écouter.

C’est pas mal ça, malheureusement. On n’a pas vraiment encore la capacité de savoir tout ce que captent nos appareils à notre insu.

Les citations ont été éditées à des fins de clarté et de précision

https://ici.radio-canada.ca/

Combien valent vos données personnelles sur le dark web?


Ces derniers mois, nous avons entendu parler de vol de données de clients dans certaines entreprises. Ces données sont vendues dans le darknet, le côté sombre d’Internet. Tout est a risque, vol d’identité, carte de crédit, même un dossier médical peut devenir notre pire cauchemar.
Nuage


Combien valent vos données personnelles sur le dark web?

Une main tenant un sac d'argent sort d'un écran d'ordinateur.

Les données volées ont une valeur marchande et peuvent servir aux acteurs malveillants, qui les vendent et les achètent dans les recoins du web.

PHOTO : RADIO-CANADA / ÉMILIE ROBERT

Desjardins, Capital One, Cambridge Analytica… Les scandales liés à la protection des données personnelles se multiplient ces dernières années et nos informations sont plus convoitées que jamais. Certains banalisent la situation. « Je n’ai rien à cacher », entend-on souvent. Pourtant, les risques sont sérieux, et vos données ont une valeur marchande dans les recoins du web.

Le chef de la cybersécurité aux Commissionnaires du Québec, Jean-Philippe Décarie-Mathieu, connaît bien cette facette du monde interlope. Voici ses réponses à nos questions sur le sujet.

Ce texte est le premier d’une série d’entrevues avec des experts en cybersécurité sur des enjeux qui vous préoccupent

Radio-Canada Techno : Où se vendent les données personnelles sur le web?

Jean-Philippe Décarie-Mathieu : Ça se fait sur des cryptomarchés accessibles sur les darknets, donc dans des parties cachées du web. On trouve sur ces marchés de l’information volée, des cartes de crédit fraudées, des outils de hacking, de la drogue, des armes et plus. Il existe plusieurs marchés de différentes tailles, un des plus connus étant BerlusconiMarket.

Dans le fond, ces sites sont comme un eBay du crime électronique. Les vendeurs ont des profils et une réputation, ils montrent des fiches de produits. Tu cherches ce que tu veux acheter, et tu as toi-même une réputation en tant qu’acheteur. On paie le vendeur d’une manière qui est difficilement traçable, généralement en utilisant une cryptomonnaie comme bitcoin ou Litecoin.

Quel genre de données personnelles peut-on acheter?

Il y a de tout. On peut par exemple acheter des fullz, un dossier qui représente en quelque sorte l’identité numérique ou l’entièreté des dossiers personnels de quelqu’un.

Il n’y a pas de définition exacte d’un fullz, mais généralement, on parle d’une date de naissance, d’un numéro d’assurance sociale, d’une adresse, d’un numéro de téléphone… Bref, tout ce qui permet de voler l’identité de quelqu’un.

La valeur des fullz a énormément baissé. Il y a deux ans, ça valait environ 800 $ US. L’an dernier, c’était en dessous de 600 $ et présentement, le prix tourne autour de 150 $.

Il y a tellement de fuites de données et d’informations personnelles accessibles sur le web que les prix chutent drastiquement. C’est l’offre et la demande, mais ça reste très peu cher pour une solution clés en main de vol d’identité.

On peut aussi acheter des accès à des comptes de courriel GMail, Yahoo et autres. Ça se vend pour environ 3 dollars américains et c’est aussi considéré comme des fullz, mais plus en matière d’identité numérique. Il y a beaucoup d’informations personnelles là-dedans : on y trouve toutes les communications des gens depuis souvent des années, et tous leurs mots de passe peuvent être réinitialisés à partir de leur compte.

Des prix de données personnelles en dollars américains

Fullz : 50-150 $ (très variable selon la cote de crédit)

Courriel et mot de passe Gmail : 3 $

Accès à un site web bancaire : 100 $

Numéro de carte de crédit avec code CVV : 60 $

Permis de conduire : 400-500 $ pour un permis d’un État américain (moins cher pour les autres pays)

Passeport canadien : 2000 à 5000 $, aussi peu que 15 $ pour un scan

Carte d’assurance maladie du Québec : 200 $

Nouvelle identité complète (incl. documents, etc.) : 46 000 $

* Les prix fluctuent selon les marchés, les vendeurs, la demande et d’autres facteurs. Ces chiffres ne sont que des estimations.

Concrètement, on peut faire quoi avec mes données?

Toutes sortes d’activités criminelles. Commander un téléphone cellulaire pour faire des transactions de drogue illicite, faire une demande pour une carte d’identité qui requiert plus ou moins de vérification… Il y a plein de raisons pour lesquelles les gens se créent une fausse identité.

C’est rare de voir des cas extravagants, comme se faire coller une hypothèque sans le savoir, parce que les compagnies de carte de crédit ont des bons systèmes pour la fraude, bloquent les cartes et remboursent rapidement les victimes.

Souvent, les gens vont ouvrir des nouveaux comptes de cartes de crédit pour acheter des choses, par exemple 200 cartes prépayées Amazon qui sont ensuite revendues ou utilisées. Une fois que le fraudeur se rend au magasin et achète les cartes, la compagnie de crédit remarque que c’est une fraude et désactive la carte de crédit.

Le fraudeur a maintenant 200 cartes-cadeaux Amazon, et pour qu’il se fasse prendre, il faudrait que la compagnie de crédit parle à Amazon pour savoir où il a acheté les cartes, trouver dans quel dépanneur il les a achetées, appeler le dépanneur pour regarder les caméras et voir à quoi ressemble le fraudeur…

Ça marche bien parce que ça se passe dans différents pays, et on ne va pas faire appel à Interpol pour chaque vol de 200 cartes-cadeaux Amazon.

Même juste mon courriel et mon mot de passe, c’est risqué?

Il y a un an, plein de gens ont reçu un courriel qui leur disait qu’on les avait vus se masturber devant leur webcam. Le message montrait leur mot de passe et disait que s’ils n’envoyaient pas X nombre de bitcoins, on enverrait à toute leur famille des enregistrements d’eux en train de se masturber. On appelle ça de la sextorsion.

Deux groupes criminels en Europe de l’Est ont fait des dizaines de millions de dollars avec ça, et toutes les informations qui ont servi à monter ce stratagème provenaient de fuites publiques. Ils ont réussi à créer un modèle de courriel qu’ils ont pu automatiser et ils l’ont envoyé à des millions de personnes en achetant simplement des listes d’adresses courriel avec des mots de passe. C’est simple et c’est super efficace.

Nos données sensibles peuvent-elles être utilisées d’autres façons?

Prenons par exemple une hypothétique fuite de données d’une banque. L’historique de transactions des gens, c’est de l’information qui parle. Si je suis un ex frustré et que je sais que mon ex est dans cette fuite-là, je peux me servir de ces données comme des munitions contre elle.

J’ai vu ça très souvent, des gens qui espionnent leurs ex, quand j’étais à Crypto.Québec. On recevait au moins un courriel par semaine d’une femme qui nous rapportait ça. C’est plus répandu qu’on pense, et je dirais même que c’est un très gros problème.

Si je veux cibler une personne, il y a plein d’information nominative que je peux utiliser contre elle, que ce soit 10 ans de courriels, de l’historique de navigation, ou autre chose comme son inscription à Ashley Madison, le site de rencontres extraconjugales qui a fait l’objet d’une fuite de données en 2016.

Aussi, je ne sais pas pourquoi on n’entend pas trop parler des dossiers médicaux. Dans l’industrie de la santé, les menaces internes, c’est-à-dire des employés qui sortent de l’info à grande pelletée, sont un problème important. Il y a eu plusieurs fuites comme ça aux États-Unis, et ça peut aussi servir à l’extorsion.

L’information médicale, c’est de l’information très sensible. Ça en dit beaucoup sur nous, sur notre famille et sur nos habitudes de vie. C’est de l’information qui peut être utilisée contre nous et sur laquelle on n’a aucun contrôle.

Le grand drame du 21e siècle est que toutes ces données-là, toutes mises ensemble, peignent un portrait très détaillé de quelqu’un. 

Est-ce que des données de base comme le nom, la date de naissance, l’adresse physique et l’adresse courriel d’une personne valent quelque chose?

Monétairement, ça ne vaut rien parce que ça se trouve dans plein de fuites de données des dernières années qui sont accessibles gratuitement. Il y en a tellement eu que des informations qui sont sensibles, mais non confidentielles sont extrêmement faciles à obtenir.

Ce n’est pas ça qui est vendu sur les cyptomarchés, à moins que ce soit, disons, 150 millions d’enregistrements provenant de plusieurs fuites, toutes mises ensemble dans un package deal. On peut facilement créer sa propre base de données comme celle-là, par contre.

Les données personnelles des Canadiens valent-elles plus que celles d’autres pays?

Elles valent moins que celles des Américains, mais tout ce qui est occidental vaut plus que ce qui est oriental. C’est dommage, mais si tu fais affaire avec quelqu’un en Inde, les gens penseront que c’est une arnaque pour plein de raisons et à cause de plein de préjugés.

Et si on parle de documents, c’est une autre histoire. Un passeport américain vaut plus qu’un passeport nicaraguayen. C’est un peu un reflet du statut de la strate géopolitique du vrai monde qui se transpose là-dedans. Si c’est juste des accès, on s’en fout plus.

Est-ce qu’on prend la vente de données personnelles assez au sérieux?

Je dirais que la valeur des données personnelles et l’importance de leur sécurisation ne sont pas prises au sérieux par tout le monde alors que ça devrait l’être.

Ça dort au gaz au gouvernement. Personne ne comprend les enjeux, et même dans la société civile, personne ne prend ça au sérieux quand les données de dizaines de milliers de personnes ont fuité.

C’est toujours l’histoire du je n’ai rien à cacher. Ça ne change rien si on a une vie de comptable ou non; le problème, c’est qu’on n’a aucun contrôle sur nos données.

Les citations ont été éditées à des fins de clarté et de précision.

https://ici.radio-canada.ca//

Une application pour tuer des diabétiques créée… pour mieux les protéger


Des chercheurs en sécurité informatique ont forcé la main de Medtronic à prendre au sérieux des risques de la pompe à insuline MiniMed 508 à une attaque pour changer la dose d’insuline nécessaire ou ne pas en donner du tout. Ils ont même rendu public l’application qui peut tuer un diabétique.Medtronic a été lent à avouer la vulnérabilité de ses pompes, mais il a fini par agir.Il a fallu des moyens drastiques pour changer les choses. J’avoue ne pas trop aimer ce genre de procédé qui permet de rester en vie que ce soient les pompes insulines ou autres outils, alors qu’il y a toujours une personne qui pourrait pirater le programme.
Nuage


Une application pour tuer des diabétiques créée… pour mieux les protéger


Une personne dont on ne peut voir que la taille vérifie l'écran de sa pompe à insuline.

Deux chercheurs ont voulu démontrer le potentiel meurtrier des vulnérabilités informatiques des pompes à insuline MiniMed 508 de Medtronic.

PHOTO : GETTY IMAGES / MARKHATFIELD

Radio-Canada

Des chercheurs en sécurité informatique ont mis au point une application pouvant se connecter à des pompes à insuline et administrer des doses fatales d’insuline aux personnes diabétiques. Dans une entrevue avec Wired, ces chercheurs disent avoir conçu l’application pour forcer le fabricant à réagir aux vulnérabilités de ses appareils.

Il y a deux ans, les chercheurs de la firme QED Billy Rios et Jonathan Butts faisaient une découverte troublante en étudiant le fonctionnement des pompes à insuline MiniMed 508 de Medtronic. Avec un peu de savoir-faire, une personne mal intentionnée pouvait aisément copier les radiofréquences de la télécommande de ces appareils pour lui envoyer des instructions à distance. Résultat : il était possible d’administrer de multiples doses d’insuline ou encore d’en bloquer l’injection à une personne diabétique.

Rapidement après leur découverte, les deux hommes contactent Medtronic pour la prévenir du danger et tentent de négocier avec l’entreprise pour mettre en place un système de protection ou un plan de remplacement des appareils.

Exaspérés par la résistance de Medtronic, les deux chercheurs rendent leur découverte publique dans l’espoir de faire bouger les choses. Leur présentation au congrès de cybersécurité Black Hat de Las Vegas, en août 2018, attire l’attention des médias du monde entier, et la Food and Drug Administration (FDA), l’équivalent de Santé Canada aux États-Unis, émet un avertissement public (Nouvelle fenêtre) sur son site web.

Mais ni Medtronic ni la FDAFood and Drug Administration n’agissent concrètement pour régler le problème et protéger les diabétiques utilisant une pompe MiniMed 508. Medtronic ne reconnaît d’ailleurs pas publiquement l’existence des vulnérabilités avant la publication sur son site web d’un bulletin de sécurité (Nouvelle fenêtre) en mars 2019.

L’application qui tue

À ce moment-là, Billy Rios et Jonathan Butts sont à bout de patience. Selon eux, un nouveau coup d’éclat est nécessaire pour forcer Medtronic à réagir. Cette fois, au lieu d’expliquer les risques théoriques liés à leur découverte, ils démontrent le véritable potentiel meurtrier des vulnérabilités des MiniMed 508.

Ces pompes à insuline sont généralement contrôlées directement par la personne diabétique, mais elles sont livrées avec une télécommande permettant au personnel médical de l’activer dans un rayon de quelques mètres.

Les communications entre la télécommande et la pompe ne sont toutefois pas chiffrées, ont découvert Billy Rios et Jonathan Butts, avec l’aide des chercheurs Jesse Young et Carl Schuett. Cela fait en sorte qu’il est relativement facile d’imiter le signal de la télécommande et de contourner les défenses rudimentaires en place à l’aide d’une télécommande fabriquée de toute pièce.

Une fois le contact entre la télécommande frauduleuse et la pompe établi, une personne mal intentionnée peut contrôler l’appareil à partir de son téléphone cellulaire.

Rappel volontaire

Le pari des chercheurs a porté fruit. Le 27 juin dernier, la FDAFood and Drug Administration a émis un avis de rappel volontaire (Nouvelle fenêtre) pour les pompes MiniMed 508 et pour 10 autres modèles de MiniMed. Selon Medtronic et la FDAFood and Drug Administration, il n’existe aucun moyen de mettre à jour les pompes à insuline pour les prémunir contre ce genre d’attaque.

Medtronic offre des appareils de remplacement équipés de « capacités de sécurité améliorées ». L’entreprise exhorte par ailleurs les diabétiques à consulter leur médecin pour savoir s’ils et elles devraient changer de pompe.

Avec les informations de Wired et CNBC

https://ici.radio-canada.ca

Comment se prémunir contre les cyberattaques?


Je n’ai jamais osé d’aller consulté le site de ma banque sur un wi-fi non sécurisé, et il semble que j’eusse raison. Malheureusement, il est facile de voler des données à notre insu, mais un moyen qui serait plus sécuritaire serait d’avoir un gestionnaire de mot de passe.
Nuage


Comment se prémunir contre les cyberattaques?


Le rôle des robots sur les médias sociaux a fait l'objet de plusieurs questions depuis l'élection présidentielle américaine de 2016.

Seriez-vous en mesure de savoir que vous êtes victime d’une cyberattaque? Photo: iStock / Tero Vesalainen

Angie Bonenfant

À l’heure du dîner, mardi à Gatineau, les congressistes de l’Association francophone pour le savoir (Acfas) ont eu droit à une démonstration de cyberattaque lancée par des étudiants du Centre collégial de transfert de technologie (CCTT) en cybersécurité du Cégep de l’Outaouais.


L’attaque informatique « simulée, bien sûr! » a été orchestrée avec l’intention de sensibiliser les participants à l’importance de la cybersécurité.

On voulait démontrer à quel point c’est facile pour un attaquant, lorsqu’on utilise Internet à partir d’un lieu public où il y a une alimentation réseau gratuite, d’usurper une identité et de se faire passer pour le point d’accès [dans le but de] voler des informations personnelles, résume le directeur du CCTT, François Perron.

C’est très facile de ne pas se rendre compte [qu’on est la victime d’un cybercriminel]. Il suffit d’une toute petite période d’inattention.  François Perron, directeur de Cyberquébec.org

Le réseau malicieux prend l’emphase sur le réseau original. Ensuite, l’attaque est presque complétée. Il suffit d’entrer notre mot de passe et, voilà, l’information est rendue, explique M. Perron.

La simulation a laissé une impression assez forte pour inquiéter Sophie Malavoy, directrice du Coeur des sciences de l’Université du Québec à Montréal. Mme Malovoy a maintenant la désagréable impression de ne pas en faire assez pour se prémunir contre les attaques informatiques.

Je tombe de haut. Je réalise que je n’utilise pas le wi-fi de façon très sécuritaire. Sophie Malvoy, directrice du Coeur des sciences de l’UQAM

Je fais partie des utilisateurs du wi-fi un peu naïfs et ignorants. Je réalise maintenant que la possibilité de hacker quelqu’un est beaucoup plus poussée que je le pensais, affirme-t-elle. « C’est une incitation à la prudence et à me renseigner davantage. »

La démonstration a surtout mis l’accent sur ce que l’on appelle une « attaque de l’intercepteur » (men-in-the-middle attack), où un pirate intercepte les communications entre deux parties et les falsifie sans que personne le sache.

Quand je suis au Starbucks et que je veux payer une facture en ligne, disons que ce n’est pas le moment d’aller sur le site de la Banque Nationale, parce qu’il y a même une technique qui est comme un miroir où l’attaquant peut me suivre dans tous mes sites, poursuit Sophie Malovoy.

Un gros plan du clavier d'un ordinateur avec un cadenas transparent déposé dessus.Un bon mot de passe doit comporter de 10 à 12 caractères. Photo : iStock

Mots de passe

En entrevue lors d’un direct sur Facebook dirigé par Chantal Srivastava, journaliste à l’émission Les années lumière, François Perron a rappelé l’importance des gestionnaires de mots de passe. Plus ces derniers sont longs et compliqués, a-t-il dit, mieux c’est pour votre portefeuille.

Le gestionnaire va générer des mots de passe impressionnants que personne ne peut retenir, et c’est parfait comme ça!, a insisté M. Perron.

C’est lorsque l’on atteint les 10, 11, 12 caractères que le temps pour casser un mot de passe va être de 50, 500 ou 1000 ans et un peu plus. C’est plutôt impressionnant de voir à quelle vitesse on peut briser un mot de passe de cinq ou six caractères.

Le gestionnaire de mots de passe, présentement, c’est la bonne stratégie. François Perron, directeur de Cyberquébec.org

Peut-on se fier aux gestionnaires de mots de passe qui sont offerts par Apple ou Google? lui a demandé un internaute.

Renseignez-vous en ligne. Il y a toutes sortes de gens qui font l’analyse de ces produits-là, a répondu le directeur du CCTT. A priori, Apple, Lastpass, des voûtes cryptées, etc. Il y a des dizaines de solutions.

Mais en a-t-on vraiment besoin, d’un gestionnaire de mots de passe, si on utilise une identification à double facteur? », lui demande un autre internaute. « Le bénéfice d’un gestionnaire de mots de passe dépasse largement l’identification à double facteur, tranche M. Perron.

https://ici.radio-canada.ca/